Vsebina
- 1. Ukvarjanje z ugnezdenimi skupinami
- 2. Preklop na RBAC iz ACL-jev
- 3. Upravljanje računalnikov
- Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
- 4. Ravnanje z izklopi uporabniških računov
- 5. Dvig dovoljenja in lezenje dovoljenj
Vir: Tmcphotos / Dreamstime.com
Odvzem:
Naučite se pet ključnih področij AD, za katere bo morda potrebna intervencija programske opreme drugih proizvajalcev.
Za vaše podjetje je morda celo bolj kritično kot vaša najbolj cenjena prijava ali vaša najbolj zaščitena intelektualna lastnina okolje Active Directory (AD). Active Directory je osrednji za varnost omrežja, sistema, uporabnikov in aplikacij. Upravlja nadzor dostopa do vseh predmetov in virov znotraj vaše računalniške infrastrukture in z veliko stroški, tako človeških kot strojnih virov, potrebnih za upravljanje. Zahvaljujoč ponudnikom programske opreme drugih proizvajalcev lahko v AD-ov repertoar upravljanih virov dodate tudi sisteme Linux, UNIX in Mac OS X.Upravljanje AD za več kot nekaj deset uporabnikov in skupin postane zelo boleče. Osnovni vmesnik in organizacija Microsofts ne pomagata lajšati bolečine. Active Directory ni slabo orodje, vendar so njegovi vidiki, ki skrbnike puščajo, da iščejo orodja drugih proizvajalcev. Ta del raziskuje glavne upravne pomanjkljivosti AD-jev.
1. Ukvarjanje z ugnezdenimi skupinami
Verjeli ali ne, dejansko obstajajo najboljše prakse, povezane z ustvarjanjem in uporabo ugnezdenih skupin AD. Vendar je treba te najboljše prakse ublažiti z vgrajenimi omejitvami AD, tako da skrbniki ne smejo razširiti ugnezdenih skupin na več kot eno raven. Poleg tega bi omejitev preprečevanja več kot ene gnezdeče skupine na obstoječo skupino preprečila, da bi prišlo do prihodnjih gospodinjskih in administrativnih težav.
Gnezdenje več ravni skupin in omogočanje več skupinam znotraj skupin ustvarja zapletene težave pri dedovanju, zaobide varnost in uniči organizacijske ukrepe, ki so jih vodili v skupini, da bi preprečili. Občasne revizije AD bodo administratorjem in arhitektom omogočile ponovno oceno organizacije AD in popravile ugnezdene širitve skupin.
Sistemski skrbniki so že leta v svoje možgane porivali kredo "Upravljanje skupin, ne posameznikov", vendar vodenje skupin neizogibno vodi v ugnezdene skupine in slabo upravljana dovoljenja. (Preberite več o varnosti, ki temelji na vlogi Softerra Adaxes.)
2. Preklop na RBAC iz ACL-jev
Prehod s stika upravljanja AD za upravljanje z dostopom, ki je usmerjen na uporabnika, na bolj podjetniški način nadzora dostopa na osnovi vlog (RBAC) se zdi, kot da bi bila to lahka naloga. Z AD ni tako. Upravljanje ACL-jev je težko, vendar tudi prehod v RBAC ni sprehod po parku. Težava z ACL-ji je, da v AD-ju ni centralne lokacije za upravljanje dovoljenj, kar administracijo naredi zahtevno in drago. RBAC poskuša omiliti dovoljenja in okvare dostopa z obravnavanjem dovoljenj za dostop glede na vlogo, ne pa po posameznikih, vendar še vedno primanjkuje zaradi pomanjkanja centraliziranega upravljanja dovoljenj. A kot je boleče kot prehajanje na RBAC, je veliko bolje kot ročno upravljanje dovoljenj na uporabnika z ACL-ji.
ACL ne izpolnjujejo skalabilnosti in prožne upravljivosti, ker so po obsegu preobširni. Vloge so tudi natančnejše, ker skrbniki dovolijo dovoljenja na podlagi vlog uporabnika. Na primer, če je novi uporabnik tiskovne agencije urednik, potem ima vlogo urejevalca, kot je definirano v AD. Skrbnik vpiše uporabnika v skupino urejevalcev, ki ji podeli vsa dovoljenja in dostop, ki jih urejevalci potrebujejo, ne da bi uporabnika dodali v več drugih skupin, da bi pridobili enakovreden dostop.
RBAC definira dovoljenja in omejitve na podlagi vloge ali funkcije opravila, ne pa da uporabnika dodeli več skupinam, ki bi lahko imele širša dovoljenja. Vloge RBAC so zelo specifične in za doseganje boljših rezultatov, varnejšega okolja in lažje upravljanje varnostne platforme ne potrebujejo gnezdenja ali drugih zapletov ACL.
3. Upravljanje računalnikov
Če upravljate nove računalnike, upravljate z računalniki, ki so postali izključeni iz domene, in poskušate storiti karkoli z računalniškimi računi, se skrbniki želijo odpraviti v najbližji Martini bar - na zajtrk.
Brez napak, brez stresa - vaš korak za korakom vodnik za ustvarjanje programske opreme, ki spreminja življenje, ne da bi vam uničila življenje
Ne morete izboljšati svojih programskih veščin, kadar nikogar ne skrbi za kakovost programske opreme.
Razlog za tako dramatično trditev je, da obstaja 11 besed, ki jih kot skrbnik sistema Windows nikoli ne želite brati na zaslonu: "Povezava zaupanja med to delovno postajo in primarno domeno ni uspela." Te besede pomenijo, da boste kmalu porabite več poskusov in po možnosti več ur, da to nenamerno delovno postajo povežete z domeno. Žal standardni Microsoftov popravek ne deluje. Standardni popravek vključuje ponastavitev računalniškega računa računa v Active Directory, ponovno zagon delovne postaje in prekrižanje prstov. Druga sredstva za ponovno pripenjanje so pogosto enako učinkovita kot standardna, zato skrbniki ponovno dodajo izklopljen sistem, da ga ponovno povežejo z domeno.
4. Ravnanje z izklopi uporabniških računov
Za odpravljanje računov ni mogoče popraviti samopostrežnih storitev, čeprav je težavo rešilo več drugih proizvajalcev programske opreme. Uporabniki morajo pred ponovnim poskusom počakati časovno obdobje ali se obrniti na skrbnika, da ponastavi zaklenjen račun. Ponastavitev zaklenjenega računa ne predstavlja stresa za skrbnika, čeprav lahko za uporabnika predstavlja težave.
Ena od pomanjkljivosti AD je, da lahko zaključki računa izvirajo iz virov, ki niso uporabniki, ki vnesejo napačno geslo, vendar AD ne daje administratorju namigov o tem izvoru.
5. Dvig dovoljenja in lezenje dovoljenj
Privilegirani uporabniki lahko še dodatno povišajo svoje privilegije tako, da se dodajo drugim skupinam. Privilegirani uporabniki so tisti, ki imajo nekaj povišanih privilegijev, vendar imajo ravno dovolj pooblastil, da se lahko dodajo v dodatne skupine, kar jim dodeli dodatne privilegije v storitvi Active Directory. Ta varnostna napaka omogoča notranjemu napadalcu, da postopoma doda privilegije, dokler ne obstaja obsežen nadzor nad domeno, vključno z možnostjo zaklepanja drugih skrbnikov. (Odpravite ročne postopke, ki porabljajo vire, v upravljanju identitete Active Directory. Naučite se tukaj.)
Dopustno dovoljenje je pogoj, ko skrbniki ne uspejo odstraniti uporabnikov iz določene privilegirane skupine, ko se uporabnikova naloga spremeni ali ko uporabnik zapusti podjetje. Lezenje dovoljenj lahko uporabnikom omogoči dostop do premoženja podjetja, za katerega uporabnik nima več potrebe. Oboje zaradi višine dovoljenja in dovoljenja ustvarjata resne pomisleke glede varnosti. Obstajajo različne aplikacije drugih proizvajalcev, ki lahko izvajajo revizije za odkrivanje in preprečevanje teh pogojev.
Od malih podjetij do globalnih podjetij Active Directory skrbi za preverjanje pristnosti uporabnikov, dostop do virov in upravljanje računalnika. To je eden najbolj cenjenih kosov mrežne infrastrukture v današnjem poslu. Tako zmogljivo orodje, kot je Active Directory, ima veliko pomanjkljivosti. Na srečo so proizvajalci programske opreme, ki niso Microsoftovi, razširili funkcije Active Directoryja, odpravili slabo zasnovano zasnovo upravljalnega vmesnika, utrdili njegovo funkcionalnost in zmasirali nekaj večjih pomanjkljivosti.
To vsebino vam prinaša naš partner, Adaxes.
